主题分享 | .NET MVC 利用AuthenticationFilter过滤器实现虚拟 WebShell

admin 2022年8月28日21:43:41安全文章评论4 views650字阅读2分10秒阅读模式

0x01 过滤器

1. 身份认证过滤器AuthenticationFilter,是请求处理的第一步,所以也是最先被执行的过滤器。采用的是质询 -> 应答形式,认证方发出质询要被认证方提供用户凭证,而被认证方则提供相应凭证作为应答。

2. 想使用AuthenticationFilter过滤器需继承IAuthenticationFilter接口,重写OnAuthentication方法,星主改写此方法实现虚拟webshell,通过GlobalFilterCollection注册新实例,注册成功后访问任意存在的URL均可触发命令执行。

3. 使用场景:星球里已经将工具分享给大伙,.NET MVC是前置必要的条件,访问/dotnetofAuthenticationFilter.aspx,删除该文件后访问任意存在的地址如 /?content=dGFza2xpc3Q=

主题分享 | .NET MVC 利用AuthenticationFilter过滤器实现虚拟 WebShell


星球优惠劵

原价¥129当前只需¥99, 以后星球价格只会越来越高,对.NET安全关注的师傅们动动手加入我们吧!

主题分享 | .NET MVC 利用AuthenticationFilter过滤器实现虚拟 WebShell


dotNet安全矩阵知识星球 — 聚焦于微软.NET安全技术,关注基于.NET衍生出的各种红蓝攻防对抗技术、分享内容不限于 .NET代码审计、 最新的.NET漏洞分析、反序列化漏洞研究、有趣的.NET安全Trick、.NET开源软件分享、. NET生态等热点话题、还可以获得阿里、蚂蚁、字节等大厂内推的机会

原文始发于微信公众号(dotNet安全矩阵):主题分享 | .NET MVC 利用AuthenticationFilter过滤器实现虚拟 WebShell

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年8月28日21:43:41
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  主题分享 | .NET MVC 利用AuthenticationFilter过滤器实现虚拟 WebShell http://cn-sec.com/archives/1256032.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: